С нами с 11.03.03
Сообщения: 421
Рейтинг: 105
|
Добавлено: 09/10/06 в 22:00 |
Xen писал: | Можно глянуть моим антиспаем, один хрен он работает через драйвер ядра и ему по барабану политики безопасности ;) |
у меня нашлись 2 файла из списка указанным антиспаем и благополучно удалены, за час до этого касперски нашел один файлик после скачивания свежих баз...
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 09/10/06 в 22:02 |
Домен updates-microsoft.com засуспендили.
Главное теперь чтобы его никто не перехватил и не сделал там свою какашку.
Но ближайшие несколько дней народ может спать спокойно. И я пойду спать
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 09/10/06 в 22:03 |
trankimaza писал: | to A d u l t
big respect!!!
ps. Насколько всё вышеперечисленное актуально для 98 винды? |
Вроде совсем неактуально...
|
|
|
|
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
Добавлено: 09/10/06 в 22:54 |
в общем чудеса продолжаются-только что AMON NOD словил это чудо-C:\System Volume Information\_restore{9B95298B-DA88-402B-8B93-27A7414678E7}\RP89\A0022120.exe вероятно неизвестный NewHeur_PE вирус изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин.
зы попытка зайти в папку System Volume Information-отказано в доступе
Последний раз редактировалось: VESTAL (09/10/06 в 22:56), всего редактировалось 1 раз
|
|
|
|
1К13!
С нами с 07.05.04
Сообщения: 7721
Рейтинг: 2428
|
Добавлено: 09/10/06 в 22:56 |
Адалт молодец, spamhunter прямо )
|
|
|
|
С нами с 29.10.04
Сообщения: 834
Рейтинг: 281
|
Добавлено: 10/10/06 в 01:12 |
A d u l t, большое тебе спасибо за то, что ты делаешь
(сорри за боян)
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 12:38 |
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 13:24 |
Лекарство готово !!!
Всем тем, кто заходил на masster или запускал antipioner.exe необходимо проделать вышеперечисленные действия как можно быстрее!
Создать файл cure.reg со следующим содержимым:
Код: | Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy]
"DLLName"=""
|
Затем сохранить его, далее запустить, на вопрос внесения изменений ответить утвердительно и тут же перезагрузиться. Те, у кого система была поражена, загрузка будет происходить долго. Почему долго - читайте историю ниже.
После того, как система загрузится, идем в реестр (запускам regedit.exe) и удаляем ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
Теперь лезем в папку windows\system32 и ищем там файлы:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*
Если находим, то удаляем их.
После всего этого ищем эти же файлы по всей системе и тоже их удаляем, если находим.
А теперь история развития событий:
1. С помощью рассылки злоумышленник сажает всем на компьютер некий DLL файл, который прописывается в ветке реестра
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy.
Вся хитрость состоит в том, что в ветке реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
прописываются *.dll файлы, которые должны загружаться программой winlogon.exe С помощью этой программы осуществляется вход под логином и паролем в систему.
2. Мы все узнаем об этом и вытираем эту ветку реестра и файлы с системы.
3. Злоумышленик улучшает троян - он добавляет в него модуль невидимости и выкладывает его в виде средства для удаления трояна. Этот модуль внедряется в Api Windows и запрещает нам видеть вышеперечисленные файлы в файловой системе и вышеперечисленные ключи в реестре. Тем самым якобы antipioner.exe действительно удаляет все файлы и ключи реестра, однако на самом деле он их маскирует.
Принцип действия лекарства:
Каждый раз, когда жертва логинится в систему, вместе с программой winlogon.exe подгружается вредоносный модуль. Даже когда мы загружаем систему в safe-mode режиме, все равно мы логинимся, а как следствие - запускается опять вредоносный модуль, который скрывыет от нас файлы и ключи в реестре даже в защищенном режиме. Вышеобозначенный файл cure.reg заменяет имя запускаемого *.dll файла на пустое. В результате после перезагрузки система не может загрузить вредоносный *.dll файл и немного подтормаживает при загрузке. Таким образом мы загружаем систему без запущенного вредоносного файла и опа - мы видим вредоносные ключи реестра и сами вредоносные файлы.
PS: Народ, просьба всем отписываться о результатах в этом топике.
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 14:15 |
Странно - что-то никто ничего не пишет... Не уж то у всех винда слетела после моего reg-файла?
Шучу У меня на тестовой машине все прошло удачно.
|
|
|
|
С нами с 04.03.05
Сообщения: 43
Рейтинг: 63
|
Добавлено: 10/10/06 в 14:33 |
Привет!
расскажу свою историю...
я тоже кликнул, затем все зависло...
потом(как ты сказал) посмотрел папку windows\system32 , там нашел файл файл winupdate.dll,
но он не удалялся даже в сейф моде.... короче забил....
а на следующий день там в system32 появился и wsp2update... но эти 2 файла слехкостью удалились и даже winupdate.dll
Антипионером не пользовался.... слишком мне странно это показалось.... вот
Но осталась проблема.... комп долго грузился, вернее основная загрузка проходила нормально, а
долго грузилось когда при входе в систему вводиш пароль и ентер... вот тогда да... приходилось ждать несколько минут...
СОЗДАЛ cure.reg как ты сказал... перезагрузил
и хоть ты сказал что должен грузится долго, у меня на удивление комп перезагрузился очень быстро, даже сам удивился и
залогинился быстро, несколько секунд....в реестре ту херню тоже удалиил...
Тех файлов больше не находил... вот ...
ADULT , спасибо...
|
|
|
|
+
С нами с 30.07.06
Сообщения: 65
Рейтинг: 1
|
Добавлено: 10/10/06 в 14:36 |
Хмм, у меня уже немного параноя,.. но ты как нибудь мог бы доказать что ты хороший а не мальчиш-плохиш. Ведь антипионер тоже предлагал действия от излечения - но в итоге натянул еще Х людей на заразу.
|
|
|
|
+
С нами с 30.07.06
Сообщения: 65
Рейтинг: 1
|
Добавлено: 10/10/06 в 14:38 |
Вообще лучше дать это гавно на исследование профессионалам, скажем людям из DrWeb - это их работа. Может поговоришь с ними, Адулт?
|
|
|
|
С нами с 28.02.06
Сообщения: 44
|
Добавлено: 10/10/06 в 14:45 |
А разве для этого нужны специальные связи?
Я вот например еще вчера им отослал образец для ковыряния.
Пока правда не ответили, хотя обычно буквально за несколько часов разбирают и добавляют лекарство в текущую базу. Я им так уже 4 вируса раньше сдавал.
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 14:57 |
moniker4 писал: | Хмм, у меня уже немного параноя,.. но ты как нибудь мог бы доказать что ты хороший а не мальчиш-плохиш. |
С радостью, но как? Могу выложить что-нить на мой хост adult-inc.biz в подтверждение... Только мало кто знает, что это мой хост...
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 15:10 |
moniker4 писал: | Вообще лучше дать это гавно на исследование профессионалам, скажем людям из DrWeb - это их работа. Может поговоришь с ними, Адулт? |
Ты не считаешь меня за профессионала?
|
|
|
|
Web Дизайн Сервис
С нами с 08.06.04
Сообщения: 21738
Рейтинг: 2248
|
Добавлено: 10/10/06 в 15:21 |
у меня было так:
попал на masster-x
ишак повис. закрыл окно. понял неёбку.
НЕ запуская никаких антипионеров стал искать вышеперечисленные файлы - нету. стал искать параметры в реестре - тоже там пусто.
есть ли смысл лечиться мне?..
|
|
|
|
Денежных дел мастер
С нами с 03.10.04
Сообщения: 2573
Рейтинг: 1436
|
Добавлено: 10/10/06 в 15:27 |
сорри за глупый вопрос
файл создавать какого расширения?
|
|
|
|
• HandMade Design •
С нами с 12.07.04
Сообщения: 891
Рейтинг: 328
|
Добавлено: 10/10/06 в 15:32 |
у меня такая же история как у Evilin:
и тот же вопрос: нужно ли мне лечиться?
INTELigent: там же написано: создать файл cure.reg
тоесть расширение reg
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 15:37 |
Evilin писал: | у меня было так:
попал на masster-x
ишак повис. закрыл окно. понял неёбку.
НЕ запуская никаких антипионеров стал искать вышеперечисленные файлы - нету. стал искать параметры в реестре - тоже там пусто.
есть ли смысл лечиться мне?.. |
2 ваиранта:
Либо експлоит некорректно отработал, либо установилась новая версия загрузчика, которая скрывается.
Чтобы проверить, инфицирован ли комп, надо залезть в реестр в ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
и посмотреть там раздел wscntfy
Если установлена версия загрузчика трояна с модулем сокрытия, то в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
надо попытастся создать раздел wscntfy
(Абсолютный путь раздела будет
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy).
Если раздел создался - значит Вы не инфицированы, если при создании раздела вылезло сообщение от regedit о том, что такой раздел существует, однако вы его там не видите - это значит что Вы инфицированы загрузчиком трояна с модулем сокрытия.
|
|
|
|
С нами с 14.10.05
Сообщения: 324
Рейтинг: 127
|
Добавлено: 10/10/06 в 15:53 |
Хм, странно... кликнул на линку в письме, ИЕ вылетел с ошибкой, но ни файлов, ни ключей в реестре нет. Сейчас попробовал создать раздел wscntfy - это удалось. Получается я не инфицирован?
зы: на линку нажал сразу по приходу письма, т.е. около 8 утра, вот подумалось, может там в это время какая-то иная модификация экспа лежала, либо он просто некорректно отработал, как сказал Adult...
Но, в любом случае, огромный тебе респект Adult за то, что делаешь благое дело!
|
|
Не откладывай на завтра то, что можно сделать послезавтра...
|
0
|
|
|
Web Дизайн Сервис
С нами с 08.06.04
Сообщения: 21738
Рейтинг: 2248
|
Добавлено: 10/10/06 в 15:59 |
создал раздел в реестре. никаких мессаг. я думаю меня пронесло.
в любом случае глубокая уважуха Adult'у.
|
|
|
|
С нами с 18.04.02
Сообщения: 520
Рейтинг: 261
|
Добавлено: 10/10/06 в 16:07 |
мне так показалось что я тоже нажал на линку но вовремя заметил что домен не тот и ничего не поставилось мне. После чего я подумал может была просто сделана проверка на активность акка, будут ли нажимать на ссылку и тп.
вот, спустя какое то время мне пришло снова письмо но только на тот акк с которого я нажал на ссылку и не успел троян сработать или еще чего. Этого я так понимаю на данный момен не знает ни кто кроме одного человека.
Вот сижу и думаю, поставилось мне что то или все таки чист я.
PS. Все что писал Adult я проверил и ничего не нащел.
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 16:10 |
SmoG писал: | Хм, странно... кликнул на линку в письме, ИЕ вылетел с ошибкой, но ни файлов, ни ключей в реестре нет. Сейчас попробовал создать раздел wscntfy - это удалось. Получается я не инфицирован? |
Получается, что не инфицирован. Однако я не могу утверждать это на 100%. Злоумышленник мог изменить ключ реестра wscntfy на какой-нибудь другой, хотя я этого не встречал.
Чтобы проверить этот вариант - берем программу Process Explorer (www.sysinternals.com), запускаем. В меню выбираем Find -> Find DLL
в строке поиска по очереди вводим и ищем такие фразы: wsp1 wsp2 winup A37
Если находится какой-нибудь dll файл, привязанный к процессу winlogon.exe, то скорее всего это этот вирус. Предварительно имя найденой DLL выкладываем сюда и консультируемся со мной.
PS: Всем советую прогу Process Explorer, так как она реально показывает стоющую информацию о процессах, творящихся в системе.
Тоесть какие процессы запущены, какие DLL файлы они используют, открывают ли socket-соединения и т.д.
Вообщем must have
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 10/10/06 в 16:12 |
Сейчас почему-то слетела сессия с форумом.
Либо Sortunity что-то ковыряет в форуме, либо пионер пытается от меня постить. Так что ахтунг.
Относитесь поаккуратнее к моим постам.
Или просто паранойя...
Последний раз редактировалось: A d u l t (10/10/06 в 16:25), всего редактировалось 1 раз
|
|
|
|
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
Добавлено: 10/10/06 в 16:25 |
В общем так. Сделала всё как ты уважаемый Adult написал. После запуска и перезагрузки .reg смотрю реестр-ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy -удаляю
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX-такой нет,
даее ищу все файлы виндовской искалкой и той, что ты вчера рекомендовал-ничего нет.
Запускаю Process Explorer-ищу фразы wsp1 wsp2 winup A37, на поиск A37 он мне выдаёт-процесс services.exe, тип- handle, handle or DLL-\BaseNamedObjects\SvcctrlStartEvent_A3752DX
Это оно? И что с ним делать?
|
|
|
|